返回列表 回复 发帖

爱情后门变种T(Worm.LovGate.T)病毒档案

警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:局域网/邮件/后门/系统文件
依赖系统: WINDOWS 9X/NT/2000/XP

病毒介绍:

2003年11月17日,瑞星全球反病毒监测网在全球率先截获“爱情后门”病毒的最新变种—“爱情后门变种T(Worm.LovGate.T)”,该病毒除了具有蠕虫、黑客、后门等病毒特性外,还增加了感染系统文件、盗窃密码两大全新功能,具有更大的危险性。目前国内外大部分反病毒软件还无法将该病毒变种查出,因此瑞星反病毒工程师提醒广大电脑用户更要小心提防该病毒。

“爱情后门变种T”病毒会搜索系统中的所有可执行文件,在尾部加入一个远程窃取信息的病毒模块,只要被感染的文件运行,就会激活该病毒模块,然后搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中,通过网络泄露出去。

病毒运行时还会将自己复制到系统目录下,通过修改注册表和WIN.INI文件两种方式进行自启动,大大增强了病毒运行的可能性,病毒被激活时会通过猜密码的方式来破译局域网计算机的管理员密码,取得最高权限,成功后便能控制该计算机,如果不能成功,病毒还会将自己拷贝到局域网计算机的共享目录下,来诱使局域网中的其它计算机用户运行该病毒。

病毒运行时还会给系统开后门,并且每隔一小时就会向病毒作者发送一封记录被感染计算机IP信息的信件,使病毒作者能控制用户计算机。该病毒还会搜索用户的E-MAIL地址,然后通过发送大量病毒邮件来进行网络传播,并极有可能会阻塞网络。

病毒的特性、发现与清除:

1. 感染系统中的所有可执行文件,在这些文件尾部加入一个通过远程窃取信息的模块,该病毒模块的作用是搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中。

2. 病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒, 用户可以在计算机中查找该病毒文件,找到后删除。

3. 当用户系统为9X系统时,病毒会修改启动文件win.ini,在其中加入run=rpcsrv.exe项, 用户可以用记事本程序将该文件打开,将这一病毒项删除。

4. 病毒会利用远程连接指令对局域网中的有guest和Administrator账号的计算机进行简单密码试探,如果成功将自己复制到对方的sytem32目录中,命名为:stg.exe,并注册成Window Remote Service服务来感染对方计算机,同时放出一个名为win32vxd.dll的盗密码文件,以盗取用户密码。。

5. 病毒不停地搜索网络资源,导致整个局域网资源被占用,如果发现有共享目录,则将自身复制过去,病毒文件名有以下几种可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,
PsPGame.exe,joke.exe,images.exe,pics.exe, 局域网的用户如果在共享目录中发现有这些文件,请直接删除。

6. 病毒会使用10168端口在系统中建立一个后门,等待外界用户连入,对用户计算机进行远程控制。

7. 病毒运行时会通过注册表来搜索电脑中的email地址,然后向这些地址发送大量的带毒邮件来阻塞网络。
邮件标题随机从以下字符串中选出:
Cracks!
The patch
Last Update
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advi
Check our list and mail your requests!
I think all will work fine.
Send reply if you want to be official b
Test it 30 days for free.
当用户发现有这样标题的信件时,不要随便观看这些邮件,最好直接将这些邮件删除,以防止病毒运行。

8. 病毒运行后,会每隔1小时发送一次通知邮件到病毒作者的一个信箱,邮件的标题为:xyz123xyz123,内容为中毒系统的IP地址信息,当病毒作者收到病毒通知信件后,就可以利用病毒开的后门对用户计算机进行远程控制,为所欲为。
返回列表